Hallo allerseits,
wie haben eine UTM v11.5 - 11.5.5
Darüber haben wir unseren FileZilla FTP Server veröffentlicht mit folgender Regel:
Internet -> UnserErsterFTP-Server Port 21, DestNat auf externe Schnittstelle
Dieser Zugang funktioniert von außen.
Nun wollten wir einen zweiten FTP-Server unter dem Port 50021 veröffentlichen mit folgender Regel:
Internet -> UnserZweiterFTP-Server Port 50021, DestNat auf externe Schnittstelle. Der zweite FTP-Server läuft auf einen RedHat-Server.
Der Zugriff funktioniert, aber der Inhalt des Verzeichnisses wird nicht angezeigt. Das funktioniert beim Ersten FTP-Server einwandfrei. Intern funktioniert die Auflistung auch auf dem zweiten FTP-Server, aber eben nicht von außen.
Hat jemand eine Idee, was ich vergessen habe, damit auch der Inhalt des zweiten FTP-Servers aufgelistet wird?
Danke vorab
Joachim
Zwei FTP-Server
Moderator: Securepoint
Hallo JoachimV,
funktioniert es denn von Intern auch mit dem Port 50021? Oder nur mit 21? Wenn dem so ist, dann könnte man eine Portumleitung von extern 50021 auf intern 21 machen.
Grüße
Svenja
P.S.: Wie wäre es mit einem Firmware Update? 11.5.5 ist schon 3 Jahre alt... https://wiki.securepoint.de/UTM/Changelog#Build_11.5.5
funktioniert es denn von Intern auch mit dem Port 50021? Oder nur mit 21? Wenn dem so ist, dann könnte man eine Portumleitung von extern 50021 auf intern 21 machen.
Grüße
Svenja
P.S.: Wie wäre es mit einem Firmware Update? 11.5.5 ist schon 3 Jahre alt... https://wiki.securepoint.de/UTM/Changelog#Build_11.5.5
Hallo,
erst einmal schließe ich mich Svenja an. Sie sollten DRINGEND Updaten. Es wurden sehr viele Sicherheitslücken seit dem gepatcht.
Der FTP Server wird bei einer Portweiterleitung von einer öffentlichen IP angesprochen. Hier sollte sichergestellt sein das dieser auch auf "fremde" Netze Ordnungsgemäß reagiert. Man kann Testweise eine zusätzliche Regel anlegen:
Internet => UnserZweiterFTP-Server => Port 50021 => Hidenat => internal-interface (wenn der FTP Server intern steht sonst die dazugehörige Schnittstelle)
Es könnte ggf. auch mit der MTU etwas zu tun haben. Wenn der FTP Server ein "don't fragment" Flag mitschickt darf es nicht Fragmentiert werden und geht mit dieser Größe ins Internet was nicht unbedingt von dem Internetprovider unterstützt wird. Dies kann man per SSH und dem Benutzer root ermitteln.
tcpdump -i "schnittstelle" -nnp host "IP des FTP-Servers" -v
Beispiel sieht dann der Auszug so aus:
16:48:14.454716 IP (tos 0x0, ttl 128, id 29906, offset 0, flags [DF], proto TCP (6), length 40)
10.1.97.100.51503 > 10.1.97.101.22: Flags [.], cksum 0xec59 (correct), ack 3414064, win 2053, length 0
Gruß Björn
erst einmal schließe ich mich Svenja an. Sie sollten DRINGEND Updaten. Es wurden sehr viele Sicherheitslücken seit dem gepatcht.
Der FTP Server wird bei einer Portweiterleitung von einer öffentlichen IP angesprochen. Hier sollte sichergestellt sein das dieser auch auf "fremde" Netze Ordnungsgemäß reagiert. Man kann Testweise eine zusätzliche Regel anlegen:
Internet => UnserZweiterFTP-Server => Port 50021 => Hidenat => internal-interface (wenn der FTP Server intern steht sonst die dazugehörige Schnittstelle)
Es könnte ggf. auch mit der MTU etwas zu tun haben. Wenn der FTP Server ein "don't fragment" Flag mitschickt darf es nicht Fragmentiert werden und geht mit dieser Größe ins Internet was nicht unbedingt von dem Internetprovider unterstützt wird. Dies kann man per SSH und dem Benutzer root ermitteln.
tcpdump -i "schnittstelle" -nnp host "IP des FTP-Servers" -v
Beispiel sieht dann der Auszug so aus:
16:48:14.454716 IP (tos 0x0, ttl 128, id 29906, offset 0, flags [DF], proto TCP (6), length 40)
10.1.97.100.51503 > 10.1.97.101.22: Flags [.], cksum 0xec59 (correct), ack 3414064, win 2053, length 0
Gruß Björn
Allen erst einmal vielen Dank. Da sich die Firewall in Betreuung durch eine Firma befindet, sind wir immer davon ausgegangen, dass diese sich um Updates kümmert, wenn diese erforderlich sind.
Ich werde die Hinweise einmal versuchen nachzuvollziehen.
Viele Grüße
Joachim
Ich werde die Hinweise einmal versuchen nachzuvollziehen.
Viele Grüße
Joachim